Datenpanne beim E-Mail-Versand?

Datenschutz Datensicherheit

Ein klassisches Beispiel einer Datenpanne:

Beim Versand eines E-Mail-Verteilers werden versehentlich die Adressen im „An:“ oder „Cc:“ Feld und nicht im „BCC“ Feld eingetragen.

 

Laptop mit vielen Briefumschlägen

Wer kennt und hat es nicht schon mehrfach gesehen: Sie bekommen eine E-Mail und sehen darin neben Ihrer eigenen E-Mail-Adresse auch die Adressen sämtlicher anderer Empfänger. Sicherlich passiert so etwas im privaten Bereich häufig. Da allerdings kennen sich die Personen meistens untereinander, beziehungsweise kommunizieren ohnehin eher über diverse Messenger auf dem Smartphone, anstatt per E-Mail.

Häufig geschieht dies aber auch in E-Mail-Verteilern von Vereinen. Je nach Größenordnung vermischen sich hier private und geschäftliche Mailadressen und eventuell kennen sich die Empfänger nicht alle persönlich.

In den meisten Fällen kommt es bei so einem Ereignis dazu, dass anhand der E-Mail-Adresse der Inhaber eindeutig identifizierbar ist. Und je nach Inhalt der E-Mail, kann die Bekanntgabe - wer ebenfalls dieselben Informationen übermittelt bekommen hat - mehr oder weniger kritisch sein.

Wesentlich problematischer ist das Ganze im geschäftlichen Umfeld, beispielsweise beim Versand von Newslettern oder Preislisten. Man erkennt hier anhand der Liste die Mitbewerber oder zum Beispiel im Fall von Studien, weitere vom Thema betroffene Personen.

Aber was bedeutet das nun?

In jedem Fall haben wir es hier mit einem Datenschutzvorfall zu tun! Sogar einem, der unter Umständen an die Aufsichtsbehörde gemeldet werden muss.

Einen derartigen Fall musste die spanische Datenschutzaufsichtsbehörde kürzlich bewerten. Ein Unternehmen hat eine Werbe-E-Mail an mehrere Empfänger versendet und dabei nicht die BCC-Funktion des E-Mail-Programmes berücksichtigt. In diesem Verhalten sah die Aufsichtsbehörde, ohne weitere Begründung, einen Verstoß gegen Art. 5 Abs. 1 lit. f der DSGVO.

Hiernach müssen personenbezogene Daten:

in einer Weise verarbeitet werden, die eine angemessene Sicherheit von personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter und unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“).

Es wurde unter Berücksichtigung der konkreten Umstände des Einzelfalles ein Bußgeld in Höhe von 2.500 Euro verhängt.

Die Entscheidung der spanischen Aufsichtsbehörde (jedoch in spanischer Sprache), finden Sie hier.

Derartige Fälle wurden jedoch auch schon in Deutschland geprüft, und mit Strafen in ähnlicher Höhe belegt.

Als Fazit gilt: Der Versand einer E-Mail an mehrere Empfänger - ohne Verwendung der BCC-Funktion - ist immer dann problematisch, wenn sich die Empfänger untereinander nicht kennen.

Normalerweise ist das bei Werbe- oder allgemeinen Rund-E-Mails an Kunden oder Lieferanten immer der Fall. Betreffen kann es jedoch auch E-Mails in Vereinen oder sonstigen Institutionen, die über aktuelle Ereignisse informieren sollen.
Werden derartige E-Mails über einen offenen Verteiler versendet ist immer von einer meldepflichtigen Datenpanne auszugehen.

Stellen Sie daher vor dem Versand unbedingt sicher, dass Sie alle Adressdaten ausschließlich im BCC-Feld eingetragen haben.

Besonders tückisch ist dies allerdings bei Outlook. Hier muss das BCC-Feld zunächst aktiviert werden, da es standardmäßig deaktiviert ist. Sie finden hier eine Anleitung zum Aktivieren des BCC-Feldes in Outlook.

Sollte es trotz aller Vorsicht dennoch dazu kommen, dass versehentlich eine E-Mail mit einem offenen Verteiler versendet wurde, ist der Datenschutzbeauftragte beziehungsweise der Datenschutzkoordinator umgehend zu benachrichtigen. Weiterhin sollte - entsprechend der Vorgaben - eine interne Störung erfasst werden. Je nach Einzelfall ist abzuwägen, ob die Datenpanne der Aufsichtsbehörde gemeldet werden muss oder ob der Vorgang anderweitig (zum Beispiel durch Information der Betroffenen) geklärt werden kann.

Wir stehen hier unterstützend und beratend zur Seite. Fern helfen wir Ihnen bei der Abwägung des Einzelfalles und sprechen unsere Empfehlungen dazu aus.
Die endgültige Entscheidung, ob gemeldet wird oder nicht, liegt aber immer beim jeweiligen Unternehmen. Die Geschäftsführung entscheidet. Und final würde diese den Datenschutzvorfall der Aufsichtsbehörde melden. Diesen Teil können wir Ihnen leider nicht abnehmen.

Quellenverzeichnis:
Bild: https://de.freepik.com/fotos-kostenlos/nachrichten-neben-einem-laptop-schwimmend_928684.htm


Unser Rückruf-Service für Sie.

Haben Sie Fragen zu unseren Dienstleistungen oder wünschen ein Beratungsgespräch? Gerne rufen wir Sie kostenlos zurück. Füllen Sie hierzu lediglich das folgende Formular aus.

Hinweise zur Erfüllung unserer Informationspflichten zur Verarbeitung personenbezogener Daten gemäß Art. 13, 14 DSGVO finden Sie in unserer Datenschutzerklärung .